2014 년도 ( 사 ) 한국신용카드학회 춘계세미나및정기총회 신용카드산업의 정보보안리스크와소비자보호 일시 : ( 화 ), 14:30 장소 : 대한상공회의소중회의실 B 주최 : 한국신용카드학회 후원 : 여신금융협회

2014 년도 ( 사 ) 한국신용카드학회 춘계세미나및정기총회 신용카드산업의 정보보안리스크와소비자보호 일시 : 2014. 5. 27.( 화 ), 14:30 장소 : 대한상공회의소중회의실 B 주최 : 한국신용카드학회 후원 : 여신금융협회

진행일정 14:30~15:00 Ⅰ. 등록 (Desk) 15:00~15:10 Ⅱ. 개회사 ( 중회의실 B) 1. 사회자 : 주소현교수 ( 이화여대소비자학과 ) 2. 개회사 : 이명식학회장 ( 상명대경영학과 ) 15:15~17:30 Ⅲ. 주제발표및토론 ( 중회의실 B) 사회자 : 주소현교수 ( 이화여대소비자학과 ) 1. 제1발표 (15:15~15:55) 30분발표 + 10분토론발표자 : 김상봉교수 ( 한성대 ) 발표제목 : 국내금융기관의개인정보유출현황과제도개선방향토론자 : 이윤수과장 ( 금융위원회 ), 이보우교수 ( 단국대 ) 2. 제2발표 (16:05~16:45) 30분발표 + 10분토론발표자 : 최철교수 ( 숙명여대 ) 발표제목 : 금융분야개인정보유출재발방지를위한정부종합대책의한계점과개선방안토론자 : 정인화실장 ( 금융감독원 ), 김재중이사 ( 한국정보인증 ) 3. 제3발표 (16:50~17:30) 30분발표 + 10분토론발표자 : 장성일부장 (SK인포섹컨설팅본부 ) 발표제목 : 신용카드사의정보보안체계구축및관리방안토론자 : 강상욱교수 ( 상명대 ), 채승완박사 ( 한국인터넷진흥원 ) 17:30~18:00 Ⅳ. 정기총회 ( 중회의실 B)

2014 년도 ( 사 ) 한국신용카드학회 춘계세미나및정기총회 국내금융기관의개인정보유출현황과 제도개선방향 김상봉 ( 한성대교수 )

( ) 1)** ** ** 본연구에서는국내금융기관의개인정보유출현황과제도개선을중심으로살펴본다. 최근에 KB 카드는약 5,300 만명, 롯데카드는 2,600 만명, NH 카드는 2,500 만명의개인정보가유출된것으로파악되고있다. 이러한개인정보의유출은큰사회적파장을만들뿐만아니라, 신뢰를기반으로금융기관의이미지에큰타격을입히게된다. 정부도개인정보유출에따라많은대응책을내놓았지만시기에대한부분이나방향설정, 단기와장기정책에대한혼선, 파급효과에대한예상이미흡한부분도여전히존재하는것으로보인다. 본논문은개인정보유출과관련하여비용, 사전적제도개선방향과사후적제도개선방향을살펴보았다. 비용측면에서정보유출에따른각사의비용은굉장히크게나타난다. 사전적제도개선방향으로 (1) 금융기관의리스크관리에서의정보의필요성, (2) 소비자의권리와정보의필요성, (3) 개인정보보호의컨트롤타워형성, (4) IT 보안에대한인식변화, (5) 주민등록번호제도의변화, (6) 공인인증제도변화에대해살펴보았다. 사후적인제도개선방향으로 (1) 개인정보유통시장의경로차단으로 2 차피해최소화, (2) 개인정보유출과징금방향의설정, (3) 관련법과제도의정비를통해보다신뢰있는금융의방향을살펴본다. 핵심단어 : 개인정보유출, 사전적제도개선, 사후적제도개선 * * ** 2 389 505, Tel : 02)760-8038, E-mail : brainkim75@hansung.ac.kr

(2014 6 )., KT, POS. 2014 1 8 (KCB) 3 (KB,, NH). (FDS),. KB 5,300, 2,600, NH 2,500. 3 KB, NH.,,,,,,,. < 1>. (14. 1. 8 ) 1 (KB 5,300, NH 2,500, 2,600 ) (14. 2. 11 ) 8,500 (,,, ) 3, :.,.,,,.

( ),.,. Shanghai Roadway D&B 2012 150 ( ),,, Heartland Payment Systems ( ),, TJX ( ) TRW Sears Roebuck ( ) 2009 130 2014 104,, 19 2007 94 1984 90, ( ) 2011 77 ID,, ( ) 2013 70, 2008 50,,, :,, (2011), 2 11 465.6, 293.9 759.6.,., 17

(2014 6 ). 465.6 293.9 759.6 : II. 14 1 13 3,., TF 1.17. TF,. 1 27 TM, TM, 2..,,,, 14 2 16 2 KB, NH, 3 (600). 1 8,300 2. 8,500., 1 CVC,,,, CVC

( )., CVC. ID. -, (KCB) 3 (KB,, 1 8 NH) 1 10 -, - 1 13 -, 3 KCB - 1 14 - CEO -, 1 17 TF - 1 17 -, -, ( 1332) 1 20-1 22 -,, 1 24 -, 1 30 -, 2 4 - TM 2 16 -, 3 3 3 17-8,300 2 :,. III.

(2014 6 ) 2005 (2006), (2007), LG (2008), (2008), GS (2008), (2011 ), (2011 ), (2013). II. 2005 5 11 II. 2005 5 11 10 2005 5 16 12 20 II. PC.,. 2009 5 44 10. 2006 3 15 A 32,377,,. A, 3,723. A 3,723 641,. A, 32,377 1.,, 20, 10. LG LG 2006 9 3 2006, 2006 9 4 2006 9 19 LG, LG. LG 2006 9 26 22 30 LG

( ). 2006 9 26 23 25 3,056., (, ), (, ),,,. LG 2006 9 27 0 8, 19 40 LG., IP 671, 3. LG, 30.,,. 2008 1 4 2008 1 9 4, 1 8,,,,. 2008 2 4, 2008 2 5.. 14. 5, 2000. GS GS GS.. 2008 7 8 2008 7 20 1,100,,,, 76. 2008 8 28 1,200,. 2008 9 2 GS DVD, CD DVD. 2008 9 4 CD, DVD GS

(2014 6 ), 2008 9 5 GS CD DVD, 1,100 GS CD. 2008 9 5 2008 9 6, CD, DVD. CD DVD. 2011. 3 175., 1. 2011 2013. (2011 ) SK 3500,,,,.. 2013 11 (SC) 13. SC. SC 3 10 3000 (USB) 50~500. 4,, 3 4000. 300. 2013, 7 1 6,579 1 3,056 3,541. 8,741, 2012 2013 8,741, 2,967., 1,870, 2,410 540.

( ) '12.1~12 (A) '13.1~12 (B) (C=B-A) (C/A) 5,037 6,984 1,947 38.7 6,388 3,115 3,273 51.2 187 1,151 963 514.1 KB 179 3,532 3,353 1,873.0 1,010 669 341 33.8 SK 652 133 785 907 1,014 106 11.7 13,056 16,597 3,541 27.1 : 2012 (5,350, ) : 2014 3 3,... 3. KB 125.0 75.0 86.2 286.2 94.0 29.0 50.0 173.0 563.0 444.0 642.0 1,649.0 860.0 352.0 500.0 1,712.0 445.0 289.0 338.0 1,072.0 2,087.0 1,189.0 1,616.2 4,892.2 1: = 5,000 2: :,, 3: = 100,000 4: 1 19 ~2 5 431 2

(2014 6 ). 5,000 216. 2 5 KB 250, 150. 286. 958,000 958., 5 9 165 2 5 1,650., 173.,. 2 33, 11 7,000. 1,712. 1%, SK 20... 3,180.,. IV.. 3 10, 5,,,,,,,. 5,.. 7

( ). (Probability of Default, PD). 7. 5 1... (operation risk),,......,.,.,..,....,. 2000. 2010, 2010

(2014 6 ). 2010. 2010 300.. 2010.1~2011.8 80 2011.4 175 2011.3~5 16 2011.9 SK 4 5 2011.12 IBK 5 800 2011.11~2012.2 SC 10 4 2013.2, 2013.5( ) 16 4 2013.4 3 4 2014.1 NH 1 400 :, (2011),.,.. USB,. USB,.,.,. IT ' 100 5, 100 7.'.

( ) IT 10.12%.. 14.68%, 12.21%, SK 11.33%. 3 KB 8.12%, 8.50% 10.12%. 7.30%., 7.89%. (B/A) 59,642 4,351 7.30% 138,988 20,400 14.68% KB 93,606 7,604 8.12% 166,641 20,352 12.21% SK 47,211 5,351 11.33% 119,769 8,955 7.48% 165,874 13,086 7.89% 791,731 80,099 10.12% : (IT). IT. IT., IT.. 2014 4 30,.,,., ( 453). IT.

(2014 6 ),,.... ID.., (SSN).,. 9,, (NIR),.,, 2 6 12.... 2011.,..,,. 13., 14.. PKI, SEED. USB,.

( ). ActiveX. ActiveX,. (PKI) ActiveX HTML5 (non),,,,., ActiveX..,., PKI. 2001 7 (United Nations Commissional Trade Law, UNCITRAL),,.,.,. 1999 12, EU Electronic Signatures Directive), EU. (best practice). 2., (),. (PKI).,

(2014 6 )., ActiveX,. 4 30 ( ) 2011 1, 250, 2012 6~7 NH 2,430, 2013 2 KB 5,370 8,050. 1, 8,000. 8,000 3. 2 2. 2.,.,.., 2....,.,..,,. 2.

( ) 2011 4, 175. ID.. 2, 600.,,, 10% 80. 600, 3,,, 2 3. 16.,.,., 3. SK 4 5. 600,. IBK 2 3 8, 5 800.,,,, (SNS) 3. 600. SC 10 4 USB.,,,,. 3 4 A4.,.,,

(2014 6 )..,,.. ( : 3%).,., 4 30 ( 3 ).,....,,. 21 ", ".

( )., 5., 20,, 3. 33 10 5. 5...,.

(2014 6 )

( ) Personal Information Leak in Korean Financial Institutes and Ways in Improvement of a Financial System Sang Bong Kim* 1) Department of Economics, Hansung University, Seoul, Korea Si Eon Kim* Ph.D. Student, Department of Economics & Real Estate, Hansung University, Seoul, Korea Hyeon Yong Hae* MA Student, Department of Economics, Hansung University, Seoul, Korea In this paper, we focus on personal information leak and ways in improvement of a finantial system. KB Kookmin Card, NH Nong Hyup Card and Lotte Card, the three companies involved in the recently detected information leak of more than 20 million customers. This leak make negative waves in Korean society and make problems in the trust of Korean finacial institutes. Financial authority give many responses on personal information leak but there are still problems in the setting of directions, the short-term policies, and the long-term policies. Therefore, we calculate costs of personal information leak and find out ways in pre-improvement and post-improvements. In the cost side, there are huge cost by personal information leak. As pre-improvement, there are 6 ways as follows: (1) The necessity of information in the risk management in financial institutes, (2) The rights of consumers and the necessity of information, (3) Building the control tower in the personal information security, (4) Changes of IT security, (5) Changes of the resident registration number, (6) Changes of the certification system. In addition, we set post-improvement in financial system as follows: (1) Minimizing damages by the cutting path into the second market. (2) Setting of penalty as personal information leak, (3) Organizing related laws and systems. Keywords: Personal information leak, Pre-improvement of financial system, Pre-improvement of financial system < : > < : > * Address: 389 Samseon-dong 2-ga, Seongbuk-gu, Seoul 136792, Korea E-mail: brainkim75@hansung.ac.kr; Tel: +82-2-760-8038

2014 년도 ( 사 ) 한국신용카드학회 춘계세미나및정기총회 금융분야개인정보유출재발방지를위한 정부종합대책의한계점과개선방안 최 철 ( 숙명여대교수 )

( ) 최철 * 숙명여자대학교소비자경제학과 Abstract 최근우리나라에서는역대가장큰개인정보유출사건을계기로개인정보보호와관련한제도개선의필요성이제기되었다. 이전에도크고작은개인정보유출사건이발생했었지만그때마다정부의대응수준은상당히미미하였던것으로판단된다. 개인정보보호는사실상거의모든산업부문에걸쳐그중요성이인정되는이슈이고, 현재이를규율하는기본법률로서개인정보보호법이제정되어시행되고있지만그외에도수많은관련법령들이개인정보보호에관한사항을규율하고있다. 따라서현재정부의종합대책에서제시된것과같이강화된조치와제도개선을모색하는것도바람직하지만여러분야에걸쳐있는개인정보보호에관한규제가서로유기적으로작용하여그효율성을발휘하도록해야하며아울러근본적으로사회적인인식의변화가수반되어야할것이다. 이를위해서는제재는보다강화하되금융부문뿐만이아니라우리나라사회의모든부문에걸친광범위한제도개선을검토해볼필요성이있으며, 특히정보가부족하고피해의당사자가되는소비자의취약성을감안하여개인정보보호의식과관련절차에대한이해도를높일수있도록효과적인홍보와교육이반드시필요하다고판단된다. * 서울특별시용산구청파로 47 길 100 숙명여자대학교순헌관 1001 호, Tel: 02) 2077-7958, E-mail: choichul@sookmyung.ac.kr

(2014 6 ) I. 서론 우리나라는 1997년외환위기이후지금까지금융시장에서여러차례의크고작은위기들을겪어왔으며그가운데어떤문제점들이노출될때마다정부는스스로필요하다고판단하는정책적처방을가지고대응해왔다. 특히 2008년글로벌금융위기를계기로하여전세계적으로금융소비자보호에대한관심이증대되었는데우리나라에서도금융소비자보호강화가주요정책적이슈로부각되기시작하였다. 그러나그런가운데서도 2011년저축은행사태, 2013년동양그룹사태, 그리고얼마지나지않아가장최근에는신용카드사개인정보유출사고가발생함으로써그동안정부의금융소비자보호에관한정책이과연얼마나체계적으로잘준비되었으며또한얼마나실효성을거두어왔는지에대한의문이제기된다. 금융당국은매년업무계획을발표하면서금융시스템의안정을위한선제적인금융감독을항상강조해왔다. 그러나 2011년 SK커뮤니케이션즈의개인정보유출사건을비롯하여그이전과나중에도여러차례유사한사례들이있었지만개인정보보호에대한감독을강화하거나제도를정비하려는뚜렷한시도는없었던것으로보인다. 물론개인정보보호는금융부문에만국한된이슈는아니지만개인정보유출로인하여특히금융부문에서발생할수있는국민들의피해는예상할수없을만큼크다. 더욱이금융사기로인한피해는계속증가하고있고그방법들도점차고도화되어가고있으며, 개인의명의를도용한불법행위와범죄의우려도커지고있으므로최근에발생한대규모의개인정보유출사건을계기로보다나아가우리사회전반에걸쳐개인정보보호에관한제도와인식을재정비할필요성이제기된다. 최근발생한신용카드사개인정보유출사고는우리나라의역대최다인 1억여건에달하며우리나라경제인구의약 75% 가피해자로추정된다는보도가있었다 ( 경향신문, 2014). 또한유출된정보의범위도이름, 주민번호, 계좌번호, 신용한도금액, 카드유효기간, 휴대전화번호등최대 19개에달해더욱파장이컸다. 이처럼대규모로유출된개인정보는회수되기어렵고 2차적인유통을거쳐추가적인피해로도확산될우려가큰만큼매우중대한사안으로받아들여진다. 그러므로이번에는정부에서도그심각성을깨닫고관련부처가합동으로종합대책을발표하였는데문제의범위를좁게바라봄으로써다소미흡한것으로평가된다. 따라서본연구에서는개인정보보호에대한소비자의관점에서이번정부가발표한종합대책을평가해보고향후개선방향을제안하고자한다.

( ) II. 개인정보보호에관한이론적배경 2.1 개인정보보호의의의와범위 개인정보란무엇인지그리고개인정보보호의필요성에대한논의는주로법률적인영역에서다루어져왔다. 법률적인관점에서개인정보를살펴보면, 정보는우선그물리적실체가없다는특징에의해배타적인지배를계속하기어렵고따라서정보주체의법적지배를인정하는데법은대체로인색했고소유권으로귀결되는어떠한통일적인권리체계를이끌어내지못하였다. 다만정보의내용에따라부분적으로법의보호가인정되어왔는데, 창작이나발명의결과물로서의정보에대해서는저작권, 특허권등의지적재산권이부여되었으며, 또한정보주체의인격적이익과밀접하게관련된정보에대해서는인격권이라는차원의법적지배를인정하여보호해왔고타인에게공개되지않았고공개되기를원하지않는비밀성을갖는정보에대하여는그비밀을누설하는행위에제재를가함으로써법적보호를해왔다. 이처럼보호가치가인정되는일부정보만이법적보호를받아왔으나 IT와네트워크의발달로정보의수집, 가공, 처리, 전달의수단과범위에커다란변화가일어났고또한이로써정보의활용을통한새로운이익창출이라는중요한이해관계가생기게되었으므로정보의가치는이전과달리매우중요해졌다. 특히개인들의사소한정보도이제는정보처리기술의발달에따라수집 결합 분석됨으로써유용한가치를가지게되었고이를오용하거나남용하여정보주체에게피해를줄수도있게되었는데이러한정보를개인정보에포함시킬수있다 ( 윤종수, 2009). 현행 개인정보보호법 ( 이하개인정보법 ) 에따른개인정보의정의는 살아있는개인에관한정보로서성명, 주민등록번호및영상등을통하여개인을알아볼수있는정보 ( 해당정보만으로는특정개인을알아볼수없더라도다른정보와쉽게결합하여알아볼수있는것을포함한다 ) 로규정되어있다. 또한 정보통신망이용촉진및정보보호등에관한법률 ( 이하정보통신망법 ) 에서도개인정보를생존하는개인에관한정보로서특정개인을식별하거나식별할수있는모든정보로규정하고있어오늘날정보처리기술의발달에따른정보의유용성측면을반영시키는한편, 보호할가치가있는정보라는측면에서개인에관한모든정보라기보다는특정개인에대한식별이가능한정보로한정시키고있다. 즉개인에관한정보라하더라도익명처리되어누구에관한정보인지식별이안된다면개인정보에속하지않는다. 이러한입장은 1980년 OECD가채택한 프라이버시보호와개인데이터의국제적유통에관한가이드라인 (Guidelines on the Protection of Privacy and Transborder Flows of Personal Data) 과 1995년 EU가채택한 개인정보보호지침 (Data Protection Directive) 에서개인과정보와의관련성및개인에대한식별가능성을그기본요소로하고있는것과도같다. 개인정보를직접적으로해당개인을알아볼수있는정보 ( 단순개인정보 ), 그리고간접적으로다른

(2014 6 ) 정보와의결합을통해해당개인을알아볼수있는정보 ( 복합개인정보 ) 로나누어본다면오 늘날개인정보보호의문제는그중요성을간과하기쉬운복합개인정보로확대되면서 IT 와 네트워크의발달에따른개인정보의범위와그가치의증대에초점을두고있다. < 표 1> 개인정보등의보호와관련한법률체계 법률소관부처목적 개인정보법 (2011.3.29.) 금융실명법 (1997.12.31.) 신용정보법 (1995.1.5.) 전자금융거래법 (2006.4.28.) 전자상거래법 (2002.7.24.) 정보통신망법 (2001.1.16.) 전자거래기본법 (1999.2.8.) 안전행정부 금융위원회 금융위원회 금융위원회 공정거래위원회 방송통신위원회 미래창조과학부 * ( ) 안은제정일자 ( 정보통신망법은전부개정일자 ) 이법은개인정보의수집 유출 오용 남용으로부터사생활의비밀등을보호함으로써국민의권리와이익을증진하고, 나아가개인의존엄과가치를구현하기위하여개인정보처리에관한사항을규정함을목적으로한다. 이법은실지명의 ( 실지명의 ) 에의한금융거래를실시하고그비밀을보장하여금융거래의정상화를꾀함으로써경제정의를실현하고국민경제의건전한발전을도모함을목적으로한다. 이법은신용정보업을건전하게육성하고신용정보의효율적이용과체계적관리를도모하며신용정보의오용 남용으로부터사생활의비밀등을적절히보호함으로써건전한신용질서의확립에이바지함을목적으로한다. 이법은전자금융거래의법률관계를명확히하여전자금융거래의안전성과신뢰성을확보함과아울러전자금융업의건전한발전을위한기반조성을함으로써국민의금융편의를꾀하고국민경제의발전에이바지함을목적으로한다. 이법은전자상거래및통신판매등에의한재화또는용역의공정한거래에관한사항을규정함으로써소비자의권익을보호하고시장의신뢰도를높여국민경제의건전한발전에이바지함을목적으로한다. 이법은정보통신망의이용을촉진하고정보통신서비스를이용하는자의개인정보를보호함과아울러정보통신망을건전하고안전하게이용할수있는환경을조성하여국민생활의향상과공공복리의증진에이바지함을목적으로한다. 이법은전자문서및전자거래의법률관계를명확히하고전자문서및전자거래의안전성과신뢰성을확보하며그이용을촉진할수있는기반을조성함으로써국민경제의발전에이바지함을목적으로한다.

( ) 금융부문에서는개인정보법제정이전에도 금융실명거래및비밀보장에관한법률 ( 이하금융실명법 ) 과 신용정보의이용및보호에관한법률 ( 이하신용정보법 ) 과같이개인의금융거래와신용정보등에대한보호를규정하는별도의법령이시행되고있었다. 또한 IT의발달로금융환경은급속도로변화함에따라 2007년 전자금융거래법 이시행되면서부터전자금융거래에대한규제와감독이본격화되었으며, 물론그이전에도 1999년부터 전자문서및전자거래기본법 ( 이하전자거래기본법 ) 과 2002년부터 전자상거래등에서의소비자보호에관한법률 ( 이하전자상거래법 ) 이이미시행되고있었다. 참고로금융부문을포함하여개인정보등의보호를규율하는법률들이 < 표 1> 에제시되어있다. 금융부문에서의이러한다양한법률적용은공공부문과민간부문을통합한일반적인개인정보보호에관한법령체계와는별도로금융과관련한정보보호에대한수요와필요성이있음을나타낸다. 또한 < 표 1> 에제시된법률이외에도일반적으로개인정보보호와관련이있는법률은 17개부처에 38개법률이있는것으로파악되었다 ( 안전행정부, 2011). 2.2 개인정보와관련한소비자의인식과행동 개인정보와관련한소비자의인식과행동에관한연구도 IT의발달과함께온라인상에서프라이버시와개인정보보호에대한문제가제기되면서활발하게이루어지기시작했다. 온라인거래에서개인정보를지나치게많이요구하는경우소비자들은여러가지개인정보보호를위한행동을취한다는연구결과들이있는데소비자들이개인정보침해에대해더큰우려를가질수록적극적인행동을취하는것으로나타났으나일부연구에서는소비자들이개인정보의중요성을인식하고있음에도실제로개인정보보호를위한수단을사용하지않으며그러한수단에대한지식도없고사용할능력도부족하다는결론을얻기도하였다. 즉개인에따라서개인정보의제공과보호에관한인식이매우다르다는것을알수있다. Sheehan(2002) 은인터넷사용자들을대상으로개인정보침해우려에따른유형을무관심 (unconcerned), 신중 (circumspect), 조심 (wary), 경계 (alarmed) 로구분하고이러한유형별로인구통계학적인차이가있으며개인정보보호를위한행동수준에도차이가있음을보였다. 여정성 김정은 (2010) 도우리나라소비자를대상으로개인정보에대한주관적인가치를평가해본결과인구통계학적특성에따라개인정보보호에대한인식과행동이다른것을발견하였다. 예를들어여성, 10대후반에서 20대, 그리고저소득층에서무의식적이고습관적인개인정보제공행동이빈번한것으로나타나이러한계층에대한정책적고려가필요함을제시하고있다. 이화옥 나종연 (2014) 은기업의개인정보보호인증마크와관련하여소비자의개인정보보호에대한태도와행동을조사한결과현재소비자들은기업이자신의개인정보를수집하고이용하는데대한우려가높을뿐만아니라자신의개인정보를중요하게생각하고있으며, 개인정보

(2014 6 ) 보호를위해스스로노력하는편이라고생각하고있는것으로나타났다. 그리고특히개인정보침해를경험했다고응답한소비자가대다수였다. 그럼에도실제로개인정보이용약관에동의할때는꼼꼼히읽어보지않고동의만하는행동을보였으며, 개인정보보호인증마크제도에대한인식도매우낮은것으로나타났다, 이는소비자가스스로인식하는개인정보보호와실제행동사이에괴리가있음을암시한다. 인간의존엄과가치, 행복추구권을규정한 헌법 제10조에서도출되는일반적인격권과 헌법 제17조에의해보호받고있는사생활의비밀과자유를근거규정으로하여보장되는개인정보자기결정권은자신에관한정보가언제누구에게어느범위까지알려지고또이용되도록할것인지를그정보주체가스스로결정할수있는권리인데, 구혜경 나종연 (2014) 은그동안우리나라에서발생한일련의개인정보유출사건들을계기로개인정보제공동의에관한해외사례들을조사한결과전세계적으로개인정보의자기결정권보장을위해소비자의직관적이해를돕는방향으로개인정보제공동의를받고있으며소비자의교육적측면을고려하고있는추세임을제시하였다. III. 금융부문의개인정보보호현황및유출사례 위에서제시한바와같이우리나라의경우여러관련부처에서개인정보보호에관한법령들을마련하여시행하고있었지만그동안여러차례크고작은개인정보유출사례가있었던것은널리알려진사실이다. 최근 3개신용카드사에서유출된개인정보는 1억여건으로우리나라에서일어난개인정보유출사태중가장큰규모이다. 유출된개인정보의범위도매우넓은데, 3개사모두개인신상정보와결제계좌가유출되었고 KB국민카드는타사카드정보, 롯데카드와 NH농협카드에서는카드번호와카드유효기간이유출되었다고한다. 게다가개인신상정보는이름, 주민등록번호, 연락처, 주소같은기본적인개인정보뿐만아니라연봉, 결혼여부, 자동차소유여부와같은세부적인개인정보와결제일, 신용등급과같은민감한정보까지유출되었다. 더욱이신용카드사의같은계열사의사용자정보까지유출된것으로나타났다. 그러므로사고가발생한신용카드사와직접적으로무관하더라도안심할수없다. 또한유출된개인정보중에는오랫동안카드시용실적이없었거나이미해지를한경우도포함되었는데이는해지하더라도 5년정도개인정보를보관한다는동의서내용때문이라는것이다. 개인정보의유출은각종금융사기나다른범죄에이용될소지도있어 2차적인피해가우려될뿐만아니라무엇보다공신력이있어야할금융기관에서이런사고가발생했다는것자체가금융시스템의근간을뒤흔드는위기로인식된다. 정부는개인정보유출사고가발생하자 < 표 2> 와같은조치를실시하였으며, 이러한사태의심각성을깨닫고관련부처가합동으로종합대책을발표하였다.

( ) < 표 2> 정보유출사고발생과정부의조치경과 2014/01/08 신용카드사정보유출사고발생발표피해확산차단을위한대응방안즉시발표 2014/01/13 3개신용카드사및 KCB에현장검사착수 2014/01/14 금융회사 CEO 긴급간담회개최및정보보호강화촉구 2014/01/17 금융회사고객정보보호정상화 TF 가동 2014/01/22 금융회사고객정보유출재발방지대책발표 2014/01/24 개인정보의불법유통 활용차단조치실시발표 2014/02/04 TM 등비대면영업제한관련후속조치발표 2014/02/16 3개신용카드사에대한 3개월영업정지처분 2014/03/10 종합적인개인정보보호강화및재발방지방안마련 우선신용카드사정보유출사건을계기로정부가지난 3월관계부처합동으로발표한금융분야개인정보유출재발방지종합대책에서파악하고있는문제점들은다음과같다. 첫째, 과도한정보수집관행이다. 금융회사들은영업에필수적이지않은정보까지수집하여장기간보유하는경향을보이고있다. 일반적으로전화번호와주소를포함하여약 20여개에서 50여개까지로그범위가다양하며, 무엇보다이렇게과다하게수집된정보의관리소홀로인해정보유출이된다면광범위한정보를포함하고있는만큼그피해가확산될우려가있다. 둘째로는포괄적동의관행이다. 수집된정보를제3자에게제공하는경우목적도불분명한포괄적동의로인해사실상고객본인의의도와는달리동의가강요되는불합리한관행이지속되고있다. 따라서고객본인에게충분히알려지지도않는다수의제휴사에정보가제공됨으로써스팸광고노출은물론불법적인정보유출과그로인한피해는예상하기도어렵다. 셋째로는권리보장의미흡이다. 정보의과도한수집과포괄적동의강요로인해정보주체의개인정보제공에대한 자기정보결정권 이실질적으로보장되지못하고있다. 또한본인의정보이용이나제3자제공상황을잘알지못하거나알기어렵고, 정보보호를요청할규정및절차가미비한상황이다. 넷째로는불법적인정보수요가존재한다는것이다. 대출모집인등이무차별적으로대출모집이나권유를하는과정에서불법적인정보수요가발생한다는점이다. 무차별적영업의경우대량의문자메시지발송등을통한불편초래는물론금융사기등범죄에의한피해에노출될가능성도있다. 다섯째로는금융기관의내부통제부실이다. 이사회나 CEO 등주요의사결정자에게정보보호현황에대한충분한보고가이루어지지않고있으며관심도부족한실정이다. 일반적으로금융회사는영업을중시하는관행에서벗어나기힘들어고객의정보관리에소홀할뿐만아니라보안규정도제대로준수하지않는등내부통제수준이미흡한상황이다. 또한내부통제관

(2014 6 ) 련규정도미흡하여형식적인규정준수로면책이되므로정보보호와관련한주의의무에소홀한경향이있다. 여섯째로는불충분한제재이다. 정보유출시금융기관에대한제재수준이미미하여재발방지효과가미흡하다. 금융회사가정보를유출하거나불법적으로정보를활용하는경우충분한금전적, 형사적제재를부과하지않음으로써정보관리가허술하다. 그동안정보유출에대한제재는낮은수준의과태료와임직원에대해서도주의수준의가벼운제재를부과한것으로파악되었다. 이에정부는이러한문제점들에대한방안으로각단계별로면밀한검토를거쳐고객정보의유출과불법적인유통이재발하지않도록제도와관행의세밀한부분까지철저히개선하고자 < 표 3> 에서제시된주요내용을담은종합대책을발표하였으며그기본적인방향은다음과같다. < 표 3> 금융분야개인정보유출재발방지종합대책 ( 관계부처합동 ) 주요내용 1-1 수집 - 보유 활용 - 파기 단계별정보보호강화 정보처리단계별금융소비자의권리및금융회사책임강화 1-2 금융거래시주민번호노출최소화 1-3 정보제공동의서양식전면개편 1-4 문자등을통한비대면영업행위제한 1-5 금융소비자의자기정보결정권을확실히보장 금융회사가 확실하게 책임지는 구조확립 해킹등전자적침해행위에대해서도강력히대응 기제공 유출된정보로인한잠재적피해가능성차단 2-1 CEO 등의책임강화 2-2 모집인 제3자정보제공시금융회사책임강화 2-3 사후적제재대폭강화 3-1 기존전산보안대책대폭보강 3-2 정보보안관련점검 관리강화 3-3 신용카드결제시개인정보보호강화 4-1 기존정보로인한피해가능성차단 4-2 대응체계구축 첫째, 개인정보의 수집 - 보유 활용 - 파기 의단계별로금융소비자의권리보호및금융회사 책임을대폭강화하고자구체적인기술적보안방안에있어서는자율권을부여하되, 유출사고

( ) 발생시에는금융회사에엄정히책임을물어형식적기준과절차만준수하면사고가발생해도제재를받지않는문제를방지한다. 둘째, 금융회사가확실하게책임지는구조를확립하고자 CEO 등의책임을강화하고모집인과제3자에게제공한정보에대해서도금융회사에관리책임을부과하는한편, 징벌적과징금도입, 형벌과행정제재상향을통해개인정보보호법등정보보호의일반법보다책임을한층강화한다. 셋째, 해킹등외부로부터의전자적침해행위에대해서도기존대책을대폭보강하고자주기적인보안이행실태점검및보안전담기구설치등으로상시적인보안체계를구축한다. 넷째, 이미계열사와제3자에제공되었거나외부유출된정보로인해잠재적으로피해가발생할가능성에대해서도대응방안을강구한다. IV. 정부종합대책에대한평가및개선방안 정부가발표한종합대책에대한금융소비자보호측면에서의평가에앞서무엇보다정부역할에서의가장큰문제점은이러한정부의종합대책이사고가발생한후에야비로소검토되고발표되었다는점이다. 따라서이번에면밀히검토되지못한부분이있다면향후에도예상하지못한사고와문제점이다시발생할가능성이제기된다. 규제당국은언제나매년의업무계획에서선제적인규제와감독을강조해왔지만과연얼마나선제적이었느냐에대해서는회의가크다. 이제새로발표한정부의종합대책도그럴듯한말로만포장된것이아니라실질적으로적용되고그실효성이나타나도록엄격하게집행되어야할것이며, 보다세밀한검토가필요한부분은없는지다시살펴보아야할것이다. IT와네트워크의발달과산업에서의적용확산은금융환경의큰변화를가져왔다. 이러한변화는소비자의금융이용편리성을제고하는동시에금융기관이나관련기업들의이익을극대화하는방향으로새로운전략과행동을초래하기도한다. 최근빅데이터분석과활용이일반산업이나금융산업에서큰관심분야로떠오르고있는데여기에도개인정보보호에관한문제가개입된다. 또한전자금융수단의발전은보안기술의발전뿐만아니라이것을사용하는사용자의이해수준, 그리고금융기관과관련기업에종사하는직원들의윤리의식도부응해야하는데각종조사결과나특히이번사건에서도매우부족하고미흡함을알수있다. 일부연구자들의연구결과에서도알수있듯이개인정보보호에대한소비자의의식수준은비교적낮고특별한취약계층에서는더욱낮은것이현실이다. 이번정부발표내용에포함된개인정보제공동의서식개선은이번사건이아니더라도충분히예상하여변경할수있는사항이었으며, 무분별한정보수집관행도오래전부터지적되어온사항이었다. 우리나라에서주민등록번호와같은정보를종종일상적인거래에서도요구하고있으나사실상이름과생년월일의

(2014 6 ) 수집만으로도충분한경우가많은것이사실이다. 따라서불필요한개인정보제공이나제3자정보제공에동의를해야만서비스가제공되는사례가없도록해야할것이다. 이번사건을통해정부의대응과정에서검찰과금융당국은정보유출고객피해를지켜만보고있었다는비판이제기되기도하였다. 개인정보가유출된다는것은그것을이용하여새로운상품개발이나마케팅에활용하려는수요도있지만불법행위와범죄에악용하려는수요도배제할수없다. 금융사기로인한피해가근절되지않는데에는아무리금융사기에대해주의를갖고있더라도불법적으로유통되는정보를가지고그대상을찾아교묘하게금융사기를저지르는경우가많기때문이기도하다. 개인정보는한번유출되면그것을완전히회수하기가사실상어렵고그것이 2차적으로신속하게유통되어그피해를차단하는것도어렵다. 그러므로그어떤사후적조치보다도사전적인유출방지가가장최선의방법일것이다. 사전적예방을위해정부는정보수집과노출의최소화, 고도의보안기술적용, 엄격한내부통제, 제재강화등을세부적인조치계획으로제시하고있다. 이런장치는이미기존의여러법령에도어느정도반영이되어있는것이기도하다. 다만 < 표 1> 에서와같이개인정보와관련이있는법령이많고이를담당하는소관부처도다양하므로개인정보유출의문제를다루려면금융부문만이아니라전체적인개인정보수집과이용체계를검토해볼필요성이있다. 예를들어고객에대한서비스개선이나의료분야에서처럼개인정보의활용이항상부정적인것은아닌만큼해당분야에서개인정보가오용, 남용되는일이없도록세심한검토가필요하다. 그리고이렇게모든분야에서의전반적인개인정보관련제도의검토는사회적으로개인정보보호에대한인식과주의를가져올수있다. 아울러강화된개인정보보호제도를운용하면서그위반시제재는보다강화될필요가있다. 이번정부의종합대책은사회적으로큰파장을일으킨사건에대해사후적으로그처방을마련한것이지만금융부문뿐만아니라보다광범위하게모든부문들을포괄하며, 올바른의식의변화와제도정착을위해문제점과원인을규명하고대책을마련하되또한그것이엄정하게집행되도록관리를철저히해나가야할것이다.

( ) 참고문헌 경향신문 (2014), 카드개인정보, 2000만명털렸다 경제활동인구의 75%, 2014.1.19. 교육과학기술부 한국정보화진흥원 (2012), 개인정보보호법업무사례집, 구혜경 나종연 (2014), 개인정보의자기결정권강화를위한동의서식개선방안도출을위한연구 해외사례의분석을중심으로, 한국소비자학회 2014 춘계학술대회. 금융감독원. www.fss.or.kr. 안전행정부 (2011), 개인정보보호법령및지침 고시해설. 여정성 김정은 (2010), 소비자유형별개인정보의주관적가치평가차이에대한분석 개인정보제공및보호행동을중심으로, 소비자정책교육연구, 6(1), 1-26. 윤종수 (2009), 개인정보보호법제의개관, 정보법학, 13(1), 179-209. 이화옥 나종연 (2014), 개인정보보호인증마크와기업에대한소비자신뢰 브랜드인지도의조절효과를중심으로, 한국소비자학회 2014 춘계학술대회. Sheehan, K. B.(2002), Toward a typology of internet users and online privacy concerns, The Information Society, 18, 21-32.

2014 년도 ( 사 ) 한국신용카드학회 춘계세미나및정기총회 신용카드사의정보보안체계 구축및관리방안 장성일 (SK 인포섹컨설팅본부부장 )

( )

(2014 6 )

( )

(2014 6 )

( )

(2014 6 )

( )

(2014 6 )